LAPS, a dostęp do administratora lokalnego

Question

Witam!

Jestem w trakcie pisania poprawek do pracy inżynierskiej. Mam opracowany lab na wirtualkach. W labie mam serwer Windows Server w jednej podsieci, natomiast w drugiej podsieci mam komputer kliencki. Na konta AD loguję się za pomocą VPN na kliencie. W pracy opisałem, że najpierw loguję się na admina lokalnego i podłączam się do VPN, następnie później wylogowuję się i loguję na konto AD. Promotor napisał, aby klient nie miał dostępu do admina lokalnego, że ma być to zrobione przez LAPS i zawarte w politykach.

Ktoś podpowie jak się za to zabrać i jakie polityki użyć oraz czy da się podłączyć do VPN na kliencie przed zalogowaniem na jakiegokolwiek usera czy też admina lokalnego?

Pozdrawiam!

Answer 1

Wydaje mi się, że jest możliwe podłączenie się do VPN przed właściwym startem systemu (jako zwykły user) choć przyznam, że tego nie robiłem. Nie wiem na jakim rozwiązaniu dokładnie bazujesz ale przykładowo Wireguard VPN uruchomiony jako usługa (o ile wiem) pozwala na podłączenie się do sieci przed właściwym logowaniem się do systemu (tutaj szczegóły).

Pierwszy raz słyszę o czymś takim jak LAPS ale szybki research i jest to coś czego zdecydowanie brakuje u nas na firmie - raczej używamy kont lokalnych które mają to samo standardowe hasło co jest beznadziejne w kwestii bezpieczeństwa. Z drugiej strony implementacja LAPS też niewiele poprawia bo kompromitacja któregoś z kontrolerów domeny jest równoznaczna z poznaniem wszystkich haseł komputerów więc jest to trochę dyskusyjne.

Całkiem świeży opis tego jak to skonfigurować znalazłem tutaj.

Comments

Wiesz co, coś się pobawiłem z tym LAPS-em, tylko on wymaga, żeby komputer był cały czas podłączony do VPN podczas konfiguracji, a w moim przypadku jest podłączony tylko jak jest admin lokalny zalogowany. Orientujesz się może jak to skonfigurować, żeby cały czas komputer był podłączony do VPN? Dodam, że mam postawiony serwer VPN na ruterze mikrotik.